Welche Security und Compliance Tasks heutzutage beachtet werden müssen und wie sich der Sicherheitsaufwand reduzieren lässt, damit sich die Web-App Teams wieder stärker auf ihre Kernaufgaben konzentrieren können – Antworten auf diese Fragestellungen sind gefragt.
Websites und Apps werden immer umfangreicher, dynamischer und komplexer. Zudem müssen sie heute unter anderem auch für die mobile Nutzung optimiert werden. Als wäre der Aufbau, alle Abstimmungs- und Freigabeprozesse für den Launch sowie der Betrieb und die Skalierung nicht bereits aufwändig genug, so sitzen auch die Sicherheitsverantwortlichen den Web-Team ständig im Nacken. Die Anforderungen an Security und Compliance wachsen ständig. Wer also für eine Vielzahl an Websites und Apps verantwortlich ist, für den wird alleine das Sicherheitsmanagement zur Sisyphus-Aufgabe.
Compliance- und Sicherheitsanforderungen, die bei Websites und Apps beachtet werden müssen, umfassen allgemeine Datenschutzvorgaben wie die DSGVO, branchenspezifische Compliance-Anforderungen sowie den Schutz vor klassischen Angriffsszenarien, wie etwa Denial-of-Service Angriffen oder Ransomware-Angriffen und vieles mehr.
Zu den wichtiges Compliance- und Sicherheitsaufgaben gehören die folgenden Punkte:
- Security Updates und Scans: Regelmäßiges Scannen und Update von Sicherheits-Patches (sowohl zum Schutz der Infrastruktur als auch für Applikationen),
- Einsatz und Management von Firewalls,
- Multi-Faktor-Authentifizierung (meist über SSH) bereitstellen,
- Einhalten von starken, den Industriestandards entsprechenden Verschlüsselungsmaßnahmen; dazu gehören beispielsweise TLS für die Datenübertragung, verschlüsselte Festplatten sowie die Unterstützung für 2FA,
- Festlegen von Zugriffsregeln für einzelne Benutzer oder Benutzergruppen,
- richtiges Isolieren und Löschen von Daten und Projekten,
- allgemeine Compliance-Vorgaben für die Datensicherheit wie DSGVO oder international SOC-2,
- Branchenzertifizierungen, wie z.B. PCI-DSS (Payment Card Security Standard, der Sicherheitsstandard für Kreditkarten),
- Datenspeicherort auswählen (Überwachung, in welcher Region die Daten gehostet werden und Sicherstellung, dass sie innerhalb dieser Region bleiben),
- Backup-Maßnahmen und Optionen zur Wiederherstellung,
- Datenschutzerklärungen und Angaben bzw. Auswahloptionen zu Verwendung von Cookies auf jeder Website sowie
- die revisionssichere Protokollierung der Datenzugriffe und Nutzung.
Die Sicherheitsvorgaben sind also vielfältig – und die oben aufgeführten Beispiele decken längst nicht alle Aufgaben und Anforderungen ab. Erheblich vereinfachen lässt sich die Überwachung der IT jedoch, wenn ein Teil der Aufgaben automatisiert oder bereits durch einen Plattform-Partner sichergestellt wird.
Moderne Plattformen für ein zentrales Entwickeln und Skalieren von Website und Apps bieten zum Beispiel automatisch regelmäßige Scans und Updates von Sicherheits-Patches an. Kunden können sich damit darauf verlassen, dass Programme immer auf dem neuesten Stand bleiben, ohne sie ständig überwachen zu müssen. Auch die Verschlüsselung sowie sichere Authentifizierungsprozesse werden über sicherheitsorientierte Plattformen bereitgestellt.
Sollte es doch einmal zu einem Sicherheits-Zwischenfall kommen, startet ein sofortiger Incident-Management-Prozess. Experten registrieren und untersuchen den Verstoß augenblicklich und kümmern sich darum, die Sicherheitslücke schnellstmöglich zu schließen.
Daneben bietet die Nutzung von Platform-as-a-Service (PaaS) den großen Vorteil, dass die Erfahrungen vieler Kunden gebündelt werden und man den Zugriff auf „Enterprise“ Technologie und deren hohe Standards auch für kleinere Projekte ohne großen Aufwand anwenden kann.
Joey Stanford ist Vice President für den Bereich Privacy and Security bei platform.sh.
